低熵 - 它如何損害加密貨幣

處理加密貨幣時經常被指出的錯誤之一是系統中沒有足夠的熵。如果沒有足夠的熵，生成的隨機數就不夠隨機。

但我無法拼湊起來的是，缺乏隨機性究竟是如何導致系統安全性降低的。低熵系統上的密鑰生成如何使其容易受到攻擊？

如果對手可以猜到密鑰，那麼他們就可以做合法使用者可以做的所有事情：解密秘密消息、簽署聲明將資金轉移到他們的賬戶等 。用於生成密鑰的過程的最小熵必須很高足以使對手沒有希望偶然猜測生成的密鑰。

如果密鑰是在低熵系統上生成的，那麼相應的加密方案的安全性就不能取決於其密鑰大小（通常是安全參數），而應該取決於確切的密鑰熵。

例如，目前認為沒有攻擊者可以將 AES-256 與隨機排列（在 128 位字元串上）區分開來，其顯著小於 $ 2^{256} $ 計算。然而，這種安全性依賴於假設其密鑰具有完整的 256 位熵，即所有 256 位密鑰以相同的機率出現 $ 2^{-256} $ . 如果密鑰具有低熵（<256 位），AES-256 的安全性將相應減弱。直覺地說，考慮到搜尋所有可能的 AES-256 密鑰的蠻力攻擊者，低熵密鑰意味著某些 256 位密鑰比其他密鑰更有可能發生，那麼攻擊者可以減少預期的計算工作來找出正確的鑰匙。

引用自：https://crypto.stackexchange.com/questions/67522